hub

@Arbok said:

Su richiesta ho anonimizzato un utente. Da questo momento io non so più chi è. I suoi articoli ed i suoi commenti, resi anonimi, sono però ancora presenti sul sito.
Passa del tempo e qualcuno si lamenta , che si fa? Questo è il punto?
Arbok, non devi fare nulla, ma proprio nulla di nulla.
L'ultima cosa che a te personalmente deve interessare è indagare su chi è Tizio o chi è Caio. Il lavoro lo fa la Polizia postale su richiesta della Magistratura, non certo tu che sei all'oscuro di quale sia il mio lavoro e che oltre tutto non sono nemmeno un personaggio pubblico.
Il massimo che ti può succedere è che una mattina ti ritrovi il sito oscurato perché sotto sequestro preventivo, ma temporaneamente.

Certamente se io ti contatto e ti metto al corrente che qualcuno ha usato il tuo blog per screditare la mia persona tu non devi fare altro che rimuovere dal tuo blog il commento diffamatorio, se non lo fai ne risponderai.
Dovessi cancellare oltre al commento qualsiasi dato riconducibile all'utente che mi ha diffamato, stai pur tranquillo che la Polizia postale è in grado di ricostruire tutto e rintracciare l'utente e tu sarai l'ultima persona al mondo a sapere cosa è successo tra me e l'utente che mi ha diffamato.

Se invece qualcuno dovesse usare il tuo blog per apologia al fascismo e qui c'è poco da informarsi, la legge in questo caso è molto chiara: hai 48 ore di tempo per rimuovere il commento, se non lo fai ne risponderai anche tu personalmente.

@Arbok said:

Per quanto riguarda l'hosting, scusa ma non trovo risposte.
Io dico che mi affido all'azienda Pinco Pallo S.p.A. e magari posto pure il link alla sua informativa.
Resta il fatto che se i dati dei miei utenti circoleranno poi in rete perché il loro tecnico si è fatto una copia di tutti i DB dei loro server io certo non saprò mai di chi è la causa.
Anche qui è la stessa cosa ma ti invito a leggere con più attenzione: non è compito tuo preoccuparti dell'onestà e buona fede per esempio di Amazon, la cosa a te non riguarda minimamente.
Se Amazon dovesse rivendere i dati di chi acquista tramite il tuo ecommerce, questa è la situazione più grave, saranno problemi e anche molto salati per Amazon non certo per te, anche se gli stessi dati sono memorizzati nel tuo personale database che utilizzi per gestire newsletter.

arbok

@hub said:

Arbok, non devi fare nulla, ma proprio nulla di nulla.
L'ultima cosa che a te personalmente deve interessare è indagare su chi è Tizio o chi è Caio. Il lavoro lo fa la Polizia postale su richiesta della Magistratura, non certo tu che sei all'oscuro di quale sia il mio lavoro e che oltre tutto non sono nemmeno un personaggio pubblico.
...

Anche qui è la stessa cosa ma ti invito a leggere con più attenzione: non è compito tuo preoccuparti dell'onestà e buona fede per esempio di Amazon, la cosa a te non riguarda minimamente.

Come si dice, è bene non saper né leggere, né scrivere perché io continuo ad avere seri dubbi.
Se ho reso anonimo tutto, IP compreso, come fa la Polizia Postale a risalire?
Questo significa che da qualche parte (l'ISP ?) c'è un qualche collegamento tra l'IP di chi ha postato il messaggio e quel dato post.

Per l'altra cosa, non parlo di Amazon ma di un servizio Cloud che oggi non è fornito soltanto presso i grossi datacenter, ma anche da operatori minori.
In ogni caso, grande o piccolo non fa differenza; se il loro tecnico punta al mio server perché sa che ci sono sopra utenti preziosi e riesce a copiarsi di nascosto il DB, voglio proprio vedere come tu possa poi dimostrare che i dati non sono stati persi per tuo dolo o a causa di una tua negligenza.
Può essere un server in housing o un VPS o persino un sito in hosting ed in questo caso sarebbe per lui addirittura più semplice.

kruk

@hub said:

... stai pur tranquillo che la Polizia postale è in grado di ricostruire tutto e rintracciare l'utente...

Se non io come amministratore del blog riesco a rintracciare l'utente, perchè non possiedo più nessun dato su di lui (nome, e-mail o indirizzo IP) non lo potrá fare neanche la Polizia Postale, che non è root sul mio server.

hub

@Arbok said:

Se ho reso anonimo tutto, IP compreso, come fa la Polizia Postale a risalire?

@kruk said:

Se non io come amministratore del blog riesco a rintracciare l'utente, perchè non possiedo più nessun dato su di lui (nome, e-mail o indirizzo IP) non lo potrá fare neanche la Polizia Postale, che non è root sul mio server.

Ditemi che state scherzando

harry84

Per i moduli di contatto e di commento, cosa mettete nel checkbox "Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web." oppure è valido sempre "Autorizzo al trattamento dei miei dati personali ai sensi della legge 196/2003."?

Poi la storia della richiesta dei dati da cancellare è per i Commenti, giusto? Obbligatorio un modulo di richiesta di rimozione automatica oppure non serve perchè possono contattarmi per richiedere senza sfruttare un vero e proprio automatismo?

kruk

@hub. No, non sto scherzando. Sei tu che dovresti spiegarmi, come fa la Polizia Postale a rintracciare un'utente, se non ha accesso alle informazioni loggate sul mio server.

kruk

@Harry84: preferisco scrivere "Autorizzo al trattamento dei miei dati personali ai sensi delle leggi vigenti", dato che le leggi continuano a cambiare ed essere aggiornate, ed io non ho voglia di continuare ad aggiornare la pagina sulla privacy di dozzine di clienti... e manco i clienti sono felici di sborsare soldi per aggiornamenti inutili ad ogni scoreggia di qualche legislatore.

harry84

@kruk: senza mettere in dubbio le tue conoscenze, hai conferma che "Autorizzo al trattamento dei miei dati personali ai sensi delle leggi vigenti." sia una dicitura valida in questo caso a livello legale?

Sai se quindi "Autorizzo al trattamento dei miei dati personali ai sensi della legge 196/2003." è ormai comunque fuoriluogo, ovvero non basta?

Sulla stria dei Cookie, se non si accetta, si deve mandare il visitatore dal sito? Non va bene l'accettazione per scorriento?

Grazie. Vorrei avere chiara questa situazione nel giro di poco tempo, per muovermi di conseguenza ed evitare di fare doppio e triplo lavoro dovendo mettere o togliere una virgola per ogni sito più volte.

kruk

Per la precisione, il mio avvocato mi ha riferito, che non c'è alcun bisogno di appore quella frase, basta rispettare le leggi: "le leggi vanno rispettate, non citate".

Per quanto riguarda i cookie, taglio la testa al toro: faccio a meno di inserire Analytics e widget vari. jQuery me lo copio sul mio sito (ove non vengono settati cookie). E di quel fastidioso popup che "informa" sull'uso dei cookie, ne faccio a meno. L'informativa sui cookie è una di quelle stupidaggini, che nel 99% viene implementata in modo errato: secondo la legge bisogna infatti ottenere il consenso per settare i cookie **prima **di settarli - cosa che ho visto su pochissimi siti.

Se un visitatore non accetta i cookie, non li puoi settare. Devi permettergli di visitare il tuo sito senza cookie. È sottinteso, che i cookie li setti solo dopo che il visitatore ha accettato. Quindi puoi fare l'include di Analytics, di Google-Maps, delle stelline di Trust-Pilot, del bottone facebook "I-like-it" e di vari altri widget solo in un secondo momento. Non devi mandar via nessuno. Ovviamente il visitatore che non accetta i cookie, non appare nelle statistische di Analytics...

Un'accettazione implicita per scrolling o simile non è valida nel nuovo GDPR.

kiai969

Ciao a tutti, ho un sito di assistenza informatica.non ha cookie, però ovviamente c'è pubblicata la mail e il cellulare. Allora ..io vorrei preparare una bella pagina privacy in modo che l'utente sappia tutto su come gestiamo queste informazioni, però il problema sorge se un cliente arriva non dal sito (biglietto da visita o passaparola).
Volevo abilitare qualche funzione dello smartphone che avvisi l'utente di leggere la privacy sul sito se lo desidera e che se continua la chiamata le accetta e se non le acceta di riagganciare.
Il problema è questo: se lui accetta, io come tengo traccia di questa sua accettazione? registrando le chiamate? Li poi si aprirebbe una voragine per la privacy:?

kruk

Premetto: IANAL (i am not a lawyer)...

Nella pagina web, dove pubblichi il tuo indirizzo, basta avere un link (ben visibile) alla pagina sulla privacy, dove indichi in che modo tratti i dati dei clienti e che uso ne fai - nient'altro.
Non mettere stronzate tipo "non sono responsabile per i contenuti dei siti linkati" o simile. E visto che di cookie non ne hai, basta veramente poco. Importante, che specifichi chi è il responsabile del trattamento dei dati.

Se sul tuo sito metti un form per contattarti, devi mettere la dicitura tipo "con l'invio di questo modulo acconsento al trattamento dei dati" (con link alla pagina sulla privacy PRIMA del bottone INVIA. Non serve mettere una checkbox.

Se il contatto poi avviene tramite telefono o e-mail, basta indicare nella risposta (se questa avviene tramite e-mail), che ti riferisci alla richiesta telefonica del tipo: "come da richiesta telefonica del giorno 21.5.2018, le consiglio bla bla bla". E con il riferimenrto alla telefonata iniziata dal cliente, sei a posto. È infatti il cliente ad aver iniziato il rapporto con te, e quindi implicitamente acconsente al trattamento dei dati per i scopi necessari. È importante in questo contesto, che utilizzi i suoi dati solo ai fini del lavoro richiesto. Se invece vuoi inserire il suo indirizzo in una mailing-list o darlo a terzi, hai bisogno di un'autorizzazione espliita.

harry84

@kruk Grazie! Se volessi scrivere un avviso personalizzato a questo nuovo regolamento, e non una frase generica, cosa mi consiglieresti di scrivere?

Mi potresti linkare una Privacy Police base per un semplice sito con modulo contatti, commenti e qualche widgets?

Sono fortemente indeciso sul da farsi, per evitare di dover ritoccare tutto di nuovo.

kruk

Non chiedetemi troppo, per favore. Ogni sito va analizzato con cura, per vedere, di quali informazioni ha bisogno.
Cercate di ridurre al minimo il testo nella pagina sulla privacy osservando quanto segue:

• non includere widget non necessari
• includere analytics solo in modo anonimizzato
• non serve mettere istruzioni su come cancellare i cookies nei vari browser (ha poco senso, visto che i browser si aggiornano spesso)
• nei form non mettere campi per raccogliere dati non necessari (a.e. religione o hobbies). Io ho persino iniziato a togliere il campo per il fax - tanto serve poco.
• non mettere frasi che non vi assumete reponsabilità per siti terzi - è ovvio che non ne siete responsabili
• mettete ben in chiaro il vostro nome, indirizzo, partita iva e modi di contattarvi per qualsiasi richesta inerente il trattamento dei dati personali.

Il "nuovo" GDPR non è nient'altro che la vecchia legge sulla privacy, riformulata e uniformata a livello europeo per fare un po d'ordine nel chaos. Inoltre questa legge si applica anche a enti extra-CE dal momento che questi trattano dati di cittadini della CE. Sono quindi Google, facebook, Amazon e consorti, che devono adeguare il loro modo di raccimolare e trattare i dati su di noi - pena delle multe salatissime (il 4% del loro fatturato a livello mondiale!). Era questa l'intenzione primaria. Per noi piccole aziende, che non abbiamo mai fatto grandi raccolte di dati personali e mandato newsletter a vanvera, c'è poco da adeguarsi. Chi era in regola con la vecchia legge sulla privacy, al 99% lo è tuttora.

altrasoluzione

@kruk said:

Per noi piccole aziende, che non abbiamo mai fatto grandi raccolte di dati personali e mandato newsletter a vanvera, c'è poco da adeguarsi. Chi era in regola con la vecchia legge sulla privacy, al 99% lo è tuttora.

Ciao,
premesso che di legalese capisco molto poco, cercando di comprendere quali azioni "concrete" dovesse fare un microscopico imprenditore che, come dici giustamente, non passa il suo tempo a collezionare e distribuire in giro i dati dei suoi clienti o dei visitatori del suo Sito Web, mi è sembrato di capire che il GDPR preveda tutta una serie di documenti procedurali da creare, custodire, aggiornare ed esibire in caso di controllo.

Ho capito male?

Grazie mille!

kruk

Ciao** altraSoluzione!**
No, non mi risulta che bisogna produrre alcun documento.
Quel che devi fare, é di trattare con cura i dati che ottieni dai tuoi clienti. Non collezionarne oltre a quello che serve per il rapporto d'affari che hai con i tuoi clienti (ovviamente devi conservare indirizzo, p.iva ecc. dei tuoi clienti per 10 anni, se non sbaglio). Se tratti solo dati necessari per il rapporto d'affari, non c'è bisogno di alcuna autorizzazione - infatti devi trattare sti dati per legge.
Devi salvare i dati su un qualche supporto non accessibile a terzi (non necessariamente crittografato) ed avere cura che il pc con il quale tratti i dati abbia almeno un antivirus aggiornato... le cose minime insomma per non metterti nei guai.

Cercate di evitare di mettere i dati su una cloud. È comunque vietato metterli su una cloud extra-CE. Microsoft Cloud Service, Azure Core Services e Office 365 a detta di Microsoft sono safe-harbour, ma non mi risulta del tutto vero, non ne starei tranquillo.

Per gli ospedali e uffici pubblici, che trattano dati sensibili invece, la cura dei dati dev'essere molto più approfondita, con firewall, crittografia, gerarchia di permessi, log degli accessi eccetera.

altrasoluzione

In questo periodo di confusione ogni consiglio è assolutamente benvenuto!
Negli ultimi anni ho dovuto perdere più tempo a cercare di capire le leggi e tradurle in soluzioni tecniche che a fare il mio vero mestiere.
Grazie!

kiai969

@kruk said:

Premetto: IANAL (i am not a lawyer)...

Nella pagina web, dove pubblichi il tuo indirizzo, basta avere un link (ben visibile) alla pagina sulla privacy, dove indichi in che modo tratti i dati dei clienti e che uso ne fai - nient'altro.
Non mettere stronzate tipo "non sono responsabile per i contenuti dei siti linkati" o simile. E visto che di cookie non ne hai, basta veramente poco. Importante, che specifichi chi è il responsabile del trattamento dei dati.

Se sul tuo sito metti un form per contattarti, devi mettere la dicitura tipo "con l'invio di questo modulo acconsento al trattamento dei dati" (con link alla pagina sulla privacy PRIMA del bottone INVIA. Non serve mettere una checkbox.

Se il contatto poi avviene tramite telefono o e-mail, basta indicare nella risposta (se questa avviene tramite e-mail), che ti riferisci alla richiesta telefonica del tipo: "come da richiesta telefonica del giorno 21.5.2018, le consiglio bla bla bla". E con il riferimenrto alla telefonata iniziata dal cliente, sei a posto. È infatti il cliente ad aver iniziato il rapporto con te, e quindi implicitamente acconsente al trattamento dei dati per i scopi necessari. È importante in questo contesto, che utilizzi i suoi dati solo ai fini del lavoro richiesto. Se invece vuoi inserire il suo indirizzo in una mailing-list o darlo a terzi, hai bisogno di un'autorizzazione espliita.

Grazie

kruk

@altraSoluzione: mi sono documentato meglio:

• per imprese con meno di 10 addetti, la nuova legge sulla privacy non chiede l'indicazione di un responsabile per il trattamento dei dati (visto, che questo coincide di solito con il titolare dell'azienda)
• per imprese con più di 250 dipendenti serve redarre un documento che stabilisce e regola il trattamento interno dei dati

altrasoluzione

@kruk said:

@altraSoluzione: mi sono documentato meglio:

• per imprese con meno di 10 addetti, la nuova legge sulla privacy non chiede l'indicazione di un responsabile per il trattamento dei dati (visto, che questo coincide di solito con il titolare dell'azienda)
• per imprese con più di 250 dipendenti serve redarre un documento che stabilisce e regola il trattamento interno dei dati

Anzitutto ti ringrazio per l'interessamento.
Si, ho letto anche io che le piccole imprese hanno qualche obbligo di meno ma temo che ne rimangano tanti altri che ancora non ho compreso a fondo.

Inoltre, tanto per "giocare", mi viene in mente un dubbio molto "pratico":

• un utente s'iscrive a una newsletter, comunicando il proprio indirizzo email e acconsentendo al trattamento del dato
• il titolare del trattamento conserva l'indirizzo email e la prova del consenso a esso legata
• dopo qualche tempo l'utente decide di non ricevere più la newsletter e si cancella tramite l'apposito mezzo tecnico messo a disposizione
• a questo punto il titolare, per legge, oltre a non inviare più le newsletter (ovviamente), deve cancellare tutti i dati personali dell'utente, cioè l'email

Ma... se un domani quell'utente cita in giudizio il titolare dicendo che in passato, prima della cancellazione, gli ha inviato le newsletter senza consenso, come fa il titolare a dimostrare che aveva il consenso se ha dovuto cancellare i dati dell'utente, cioè l'email, unico dato comunicato e unica "chiave" di associazione col consenso?

Un Ex Utente

Il "consenso" non é da considerare "dato" soggetto alla norma e secondo me va conservato insieme alla revoca per dare data certa appunto al consenso e alla revoca.
Opinione personale si intende ... anche se frutto di una noiosissima lettura di tutta la norma ...

Motivazione dell'opinione: dato che consenso e revoca sono scartoffie da rendere a norma di legge su di esse chi le ha prodotte perde i diritti.

Occorre poi "esplorare" il fatto che le vecchie manifestazioni di consenso erano rese a fronte di una legge ora abrogata ... ATTENZIONE!! non modificata. per cui la dicitura "e successive modificazioni non ha più significato"
Sempre come personale opinione ritengo non siano più valide e debbano essere rinnovate (Ovviamente con un lavoro immane ...), sarebbe opportuno rivolgere istanza al Garante per avere lumi in merito ...